Windows最需要监听的五项安全设置

核心提示： 2 帐户拒绝登陆策略 该策略在用户忘记密码的时候起作用，当然，Windows最需要监听的五项安全设置(2)，为了阻止入侵者猜密码或者强制攻击这些密码，最好确保该设置与你的其他安全策略一起使用，如果普通用户拥有服务器，计划或者域管理组的此类权限，如果你的安全策略中没有定义这些设置，下表给出了

2 帐户拒绝登陆策略

该策略在用户忘记密码的时候起作用。当然，为了阻止入侵者猜密码或者强制攻击这些密码，最好确保该设置与你的其他安全策略一起使用。如果你的安全策略中没有定义这些设置，下表给出了对这些设置来说最实用的值。

表 2

默认情况下，这些设置储存在默认域策略GPO中，但不是在那里监听，应该分析诸如DUMPSEC或者域控制器的本地安全策略（在域控制器上运行GPEDIT.MSC）这样的工具。

3 服务器管理员组成员权限

服务器管理员组的成员是Active Directory目录服务器的一个重要的组。该组成员可以对“服务器”的功能类型进行整体变换，包括修改Active Directory站点，服务器DFS配置等等类似方面。他们还能够管理在整个域中的所有用户的帐户，组帐户，以及电脑帐户。

这个组只存在于根域中（Active Director forest中的第一个域）。因此，你只需检查Active Directory forest中的一个域就可以监听该组。该组成员数量应该控制在有限的几个以内。鉴于域管理组中的成员可以添加或者删除该组成员，所以我建议日常情况下该组没有任何成员比较好。

DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers项来浏览有该组成员权限的组和用户。

4 计划管理组成员权限

该组的权限跟服务器管理组差不多大，但是针对Active Directory的另一不同的方面的。该组成员能够修改Active Directory的计划，该计划将影响到Forest中所有的域。对该计划的错误修改将使整个服务器瘫痪和崩溃。

该组也只存在于根域中。同样，鉴于计划很少需要变更并且很受限制，日常情况下该组可以没有任何成员。限制该组成员数量或者干脆删去他们，你才能够更好的管理和控制计划变更。

DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。

5 域管理组成员权限

该组可以全权管理单独域中的所有用户、组以及电脑。该组的权限很大，并且每天都会用到。该组成员数也要控制数量，但是不要让这个组是空的。如果需要某些域功能，你应该使用Active Directory 委任，而不是向这个组添加用户。该委任对所有的Active Directory进行粗略的管理，它不会像域管理组那样分发出太多的权限。该组在所有的Active Directory域中都存在，所以你需要监听所有这些域。

DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。

总结

对Active Directory进行基本管理至关重要。如果用户的帐户密码太简单，能够轻易被破解，不经常更换或者根本没有设置密码，那么网络和服务器就很容易被攻击。务必正确设置这些密码值以及帐户拒绝登陆策略。那些最实用的值能够帮助你阻挡针对密码的种种攻击。同样的，以上Active Directory服务器三个组的用户权限应当妥善管理并经常监听。如果普通用户拥有服务器，计划或者域管理组的此类权限，那将很可能引发重大损失或严重问题。